PHÂN TÍCH GÓI TIN VỚI WIRESHARK of 13 https://docs.google.com/View?docid=dg34rcvn_22cn7krtjs PHÂN TÍCH GÓI TIN VỚI WIRESHARK 10/08/2010 8:52 CH PHÂN TÍCH GÓI TIN VỚI WIRESHARK of 13 https://docs.google.com/View?docid=dg34rcvn_22cn7krtjs MỤC LỤC MỤC LỤC Giới thiệu 1.Thế phân tích gói tin? 2.Các bước để nghe gói tin: I Các cách thức nghe gói tin mạng 1.Living Promiscuously (chế độ bắt tất gói tin qua) 2.“Nghe” mạng có Hub 3.“Nghe” mạng Switched Port Mirroring Hubbing Out ARP Cache Poisoning 4.Nghe mạng sử dụng Router Network Maps 10 II Giới thiệu WireShark 11 Một số tính nâng cao Wireshark 12 1.Name Resolution 12 2.Protocol Dissection 13 3.Following TCP Streams 13 4.Cửa sổ thống kê phân cấp giao thức 13 5.Xem Endpoints 14 6.Cửa số đồ thị IO 15 10/08/2010 8:52 CH PHÂN TÍCH GÓI TIN VỚI WIRESHARK of 13 https://docs.google.com/View?docid=dg34rcvn_22cn7krtjs Giới thiệu Hàng ngày, có hàng triệu vấn đề lỗi mạng máy tính, từ việc đơn giản nhiễm Spyware việc phức tạp lỗi cấu hình router, vấn đề xử lý tất Tốt hi vọng thực công việc cách chuẩn bị đầy đủ kiến thức công cụ tương ứng với vấn đề Tất vấn đề mạng xuất phát mức gói, nơi mà che dấu chúng ta, nơi mà thứ bị ẩn cấu trúc menu, hình ảnh bắt mắt nhân viên không đáng tin cậy Không có bí mật đây, điều khiển mạng giải vấn đề Đây giới phân tích gói tin Thế phân tích gói tin? Phân tích gói tin, thông thường quy vào việc nghe gói tin phân tích giao thức, mô tả trình bắt phiên dịch liệu sống luồng lưu chuyển mạng với mục tiêu hiểu rõ điều diễn mạng Phân tích gói tin thường thực packet sniffer, công cụ sử dụng để bắt liệu thô lưu chuyển đường dây Phân tích gói tin giúp chung ta hiểu cấu tạo mạng, mạng, xác định sử dụng băng thông, thời điểm mà việc sử dụng mạng đạt cao điểm, khả công hành vi phá hoại, tìm ứng dụng không bảo mật Có vài kiểu chương trình nghe gói tin, bao gồm miễn phí sản phẩm thương mại Mỗi chương trình thiết kế với mục tiêu khác Một vài chương trình nghe gói tin phổ biến tcpdump (a command-line program), OmniPeek, Wireshark (cả hai chương trình có giao diện đồ hoạ) Khi lựa chọn chương trình nghe gói tin, ta cần phải quan tâm đến số vấn đề: giao thức mà chương trình cần hỗ trợ, tính dễ sử dụng, chi phí, hỗ trợ kỹ thuật chương trình hỗ trợ cho hệ điều hành Các bước để nghe gói tin: Quá trình nghe gói tin chia làm bước: thu thập liệu, chuyển đổi liệu phân tích Thu thập liệu: bước đầu tiên, chương trình nghe gói tin chuyển giao diện mạng lựa chọn sang chế độ Promiscuous Chế độ cho phép card mạng nghe tất gói tin lưu chuyển phân mạng Chương trình nghe gói sử dụng chế độ với việc truy nhập mức thấp để bắt liệu nhị phân đường truyền Chuyển đổi liệu: bước này, gói tin nhị phân chuyển đổi thành khuôn dạng đọc Phân tích: phân tích gói tin chuyển đổi Có vài chương trình khác nghe gói tin, tiểu luận này, xin giới thiệu chương trình điển hình với nhiều tính mạnh hỗ trợ việc bắt phân tích gói tin Đó WireShark Nội dung phần chính: Phần I: Các cách thức nghe gói tin mạng 10/08/2010 8:52 CH PHÂN TÍCH GÓI TIN VỚI WIRESHARK of 13 https://docs.google.com/View?docid=dg34rcvn_22cn7krtjs Phần II: Giới thiệu WireShark Phần III: Các tính với WireShark Phần IV: Xử lý tình mạng với WireShark 10/08/2010 8:52 CH PHÂN TÍCH GÓI TIN VỚI WIRESHARK of 13 https://docs.google.com/View?docid=dg34rcvn_22cn7krtjs I Các cách thức nghe gói tin mạng Để thực việc bắt gói tin mạng, ta phải vị trí tương ứng để đặt “máy nghe” vào hệ thống đường truyền mạng Quá trình đơn giản đặt “máy nghe” vào vị trí vật lý mạng máy tính Việc nghe gói tin không đơn giản cắm máy xách tay vào mạng bắt gói Thực tế, nhiều việc đặt máy nghe vào mạng khó việc phân tích gói tin Thách thức việc chỗ có số lượng lớn thiết bị mạng phần cứng sử dụng để kết nối thiết bị với Lý loại thiết bị (hub, switch, router) có nguyên lý hoạt động khác Và điều đòi hỏi ta phải nắm rõ cấu trúc vật lý mạng mà ta phân tích Chúng ta nghiên cứu số mạng thực tế để cách tốt để bắt gói tin môi trường mạng sử dụng Hub, Switch Router Living Promiscuously (chế độ bắt tất gói tin qua) Trước nghe gói tin mạng, ta cần card mạng có hỗ trợ chế độ Promiscuous Chế độ Promiscuous cho phép card mạng nhìn thấy thất gói tin qua hệ thống dây mạng Khi card mạng không chế độ này, nhìn thấy số lượng lớn gói tin mạng không gửi cho nó, huỷ (drop) gói tin Khi chế độ Promiscuous, bắt tất gói tin gửi toàn tới CPU “Nghe” mạng có Hub Việc nghe mạng có hub điều kiện mơ cho việc phân tích gói tin Cơ chế hoạt động Hub cho phép gói tin gửi tất cổng hub Hơn nữa, để phân tích máy tinh hub, tất công việc mà bạn cần làm cắm máy nghe vào cổng trống hub Bạn nhìn thấy tất thông tin truyền nhận từ tất máy kết nối với hub đó, sổ tầm nhìn bạn không bị hạn chế mà máy nghe bạn kết nối với mạng hub “Nghe” mạng Switched Một môi trường switched kiểu mạng phổ biến mà bạn làm việc Switch cung cấp phương thức hiệu để vận chuyển liệu thông qua broadcast, unicast, multicast Switch cho phép kết nối song công (full-duplex), có nghĩa máy trạm truyền nhận liệu đồng thời từ switch Khi bạn cắm máy nghe vào cổng switch, bạn nhìn thấy broadcast traffic gói tin gửi nhận máy tính mà bạn sử dụng 10/08/2010 8:52 CH PHÂN TÍCH GÓI TIN VỚI WIRESHARK of 13 https://docs.google.com/View?docid=dg34rcvn_22cn7krtjs Có cách để bắt gói tin từ thiết bị mục tiêu mạng switch: port mirroring, ARP cache poisoning hubbing out Port Mirroring Port mirroring hay gọi port spanning cách đơn giản để bắt lưu lượng từ thiết bị mục tiêu mạng switch Với cách này, bạn phải truy cập giao diện dòng lệnh switch mà máy mục tiêu cắm vào Tất nhiên switch phải hỗ trợ tính port mirroring có port trống để bạn cắm máy nghe vào Khi ánh xạ cổng, bạn copy toàn lưu lượng qua cổng sang cổng khác Hubbing Out Một cách đơn giản khác để bắt lưu lượng thiết bị mục tiêu mạng switch hubbing 10/08/2010 8:52 CH PHÂN TÍCH GÓI TIN VỚI WIRESHARK of 13 https://docs.google.com/View?docid=dg34rcvn_22cn7krtjs out Hubbing out kỹ thuật mà bạn đặt thiết bị mục tiêu máy nghe vào phân mạng cách đặt chúng trực tiếp vào hub Rất nhiều người nghĩ hubbing out lừa dối, thật giải pháp hoàn hảo tình mà bạn thực port mirroring có khả truy cập vật lý tới switch mà thiết bị mục tiêu cắm vào Trong hầu hết tình huống, hubbing out giảm tính song công thiết bị mục tiêu (full to haft) Trong phương thức cách để nghe, thường bạn sử dụng lựa chọn mà switch không hỗ trợ port mirroring Khi hubbing out, chắn bạn sử dụng hub switch bị gắn nhầm nhãn Khi mà bạn sử dụng hub, kiểm tra để chắn hub cách cắm máy tính vào nhìn xem máy nhìn thấy lưu lượng lại không ARP Cache Poisoning Địa tầng (địa MAC) sử dụng chung với hệ thống hệ thống địa tầng Tất thiết bị mạng liên lạc với thông qua địa IP Do switch làm việc tầng 2, phải có khả phiên dịch địa tầng (MAC) sang địa tầng (IP) ngược lại để chuyển tiếp gói tin tới thiết bị tương ứng Quá trình phiên dịch thực thông qua giao thức tầng ARP (Address Resolution Protocol) Khi máy tính cần gửi liệu cho máy khác, gửi yêu cầu ARP tới switch mà kết nối Switch gửi gói ARP broadcast tới tất máy kết nối với để hỏi Khi mà máy đích nhận gói tin này, thông báo cho switch cách gửi địa MAC Sau nhận gói tin phản hồi, Switch định tuyến kết nối tới máy đích Thông tin nhận được lưu trữ ARP cache switch switch không cần phải gửi thông điệp ARP broadcast lần cần gửi liệu tới máy nhận ARP cache poisoning kỹ thuật nâng cao việc nghe đường truyền mạng switch Nó sử dụng phổ biến hacker để gửi gói tin địa sai tới máy nhận với mục tiêu để nghe trộm đường truyền công từ chối dịch vụ, ARP cache poisoning phục vụ 10/08/2010 8:52 CH PHÂN TÍCH GÓI TIN VỚI WIRESHARK of 13 https://docs.google.com/View?docid=dg34rcvn_22cn7krtjs cách hợp pháp để bắt gói tin máy mục tiêu mạng switch ARP cache poisoning trình gửi thông điệp ARP với địa MAC giả mạo tới switch router nhằm mục đích nghe lưu lượng thiết bị mục tiêu Có thể sử dụng chương trinh Cain & Abel để thực việc (http://www.oxid.it) Nghe mạng sử dụng Router Tất kỹ thuật nghe mạng switch sử dụng mạng router Chỉ có việc cần quan tâm mà thực với mạng router quan trọng việc đặt máy nghe mà thực xử lý vấn đề liên quan đến nhiều phân mạng Broadcast domain thiết bị mở rộng gặp router Khi đó, lưu lượng chuyển giao sang dòng liệu router bạn liên lạc với gói tin bạn nhận ACK máy nhận trả Trong tình hướng này, liệu lưu chuyển qua nhiều router, quan trọng để thực phân tích tất lưu lượng giao diện router Ví dụ, liên quan đến vấn đề liên kết, bạn gặp phải mạng với số phân mạng kết nối với thông qua router Trong mạng đó, phân mạng liên kết với phân mạng với mục đích lưu trữ tham chiếu liệu Vấn đề mà cố gắng giải phân mạng D kết nối với thiết bị phân mạng A 10/08/2010 8:52 CH PHÂN TÍCH GÓI TIN VỚI WIRESHARK of 13 https://docs.google.com/View?docid=dg34rcvn_22cn7krtjs Khi mà bạn nghe lưu lượng thiết bị phân mạng D Khi đó, bạn nhìn tháy rõ ràng lưu lượng truyền tới phân mạng A, biên nhận (ACK) gửi lại Khi bạn nghe luồng lưu lượng phân mạng cấp để tìm nguyên nhân vấn đề, bạn tìm lưu lượng bị huỷ router phân mạng B Cuối dẫn đến việc bạn kiểm tra cấu hình router, đúng, giải vấn đề bạn Đó ví dụ điển hình lý cần nghe lưu lượng nhiều thiết bị nhiều phân mạng với mục tiêu xác định xác vấn đề Network Maps Để định việc đặt máy nghe đâu, cách tốt bạn phải biết cách rõ ràng mạng mà bạn định phân tích Nhiều việc xác định vấn đề chiếm nửa khối lượng công việc việc xử lý cố II Giới thiệu WireShark WireShark có bề dầy lịch sử Gerald Combs người phát triển phần mềm Phiên gọi Ethereal phát hành năm 1998 Tám năm sau kể từ phiên đời, 10/08/2010 8:52 CH PHÂN TÍCH GÓI TIN VỚI WIRESHARK 10 of 13 https://docs.google.com/View?docid=dg34rcvn_22cn7krtjs Combs từ bỏ công việc để theo đuổi hội nghề nghiệp khác Thật không may, thời điểm đó, ông đạt thoả thuận với công ty thuê ông việc quyền thương hiệu Ethereal Thay vào đó, Combs phần lại đội phát triển xây dựng thương hiệu cho sản phẩm “Ethereal” vào năm 2006, dự án tên WireShark WireShark phát triển mạnh mẽ đến nay, nhóm phát triển lên tới 500 cộng tác viên Sản phẩm tồn tên Ethereal không phát triển thêm Lợi ích Wireshark đem lại giúp cho trở nên phổ biến Nó đáp ứng nhu cầu nhà phân tích chuyên nghiệp nghiệp dư đưa nhiều tính để thu hút đối tượng khác Các giao thực hỗ trợ WireShark: WireShark vượt trội khả hỗ trợ giao thức (khoảng 850 loại), từ loại phổ biến TCP, IP đến loại đặc biệt AppleTalk Bit Torrent Và Wireshark phát triển mô hình mã nguồn mở, giao thức thêm vào Và nói giao thức mà Wireshark hỗ trợ Thân thiện với người dùng: Giao diện Wireshark giao diện phần mềm phân tích gói dễ dùng Wireshark ứng dụng đồ hoạ với hệ thống menu rât rõ ràng bố trí dễ hiểu Không số sản phẩm sử dụng dòng lệnh phức tạp TCPdump, giao diện đồ hoạ Wireshark thật tuyệt vời cho nghiên cứu giới phân tích giao thức Giá rẻ: Wireshark sản phẩm miễn phí GPL Bạn tải sử dụng Wireshark cho mục đích nào, kể với mục đích thương mại Hỗ trợ: Cộng đồng Wireshark cộng đồng tốt động dự án mã nguồn mở Hệ điều hành hỗ trợ Wireshark: Wireshark hỗ trợ hầu hết loại hệ điều hành Một số tính nâng cao Wireshark Name Resolution Dữ liệu truyền mạng thông qua vài hệ thống địa chỉ, địa thường dài khó nhớ (Ví dụ: MAC) Phân giải điạch trình mà giao thức sử dụng để chuyển đổi địa loại thành địa loại khác đơn giản Chúng ta tiết kiệm thời gian cách sử dụng vài công cụ phân giải địa để file liệu ta bắt dễ đọc Ví dụ sử dụng phân giải tên DNS để giúp định danh tên máy tính mà ta có gắng xác định nguồn gói cụ thể Các kiểu công cụ phân giải tên Wireshark: có loại MAC Name Resolution: phân giải địa MAC tầng sang địa IP tầng Nếu việc phân giải lỗi, Wireshark chuyển byte địa MAC sang tên hãng sản xuất IEEE đặc tả, ví dụ: Netgear_01:02:03 Network Name Resolution: chuyển đổi địa tầng sang tên DNS dễ đọc MarketingPC1 Transport Name Resolution: chuyển đổi cổng sang tên dịch vụ tương ứng với nó, ví dụ: cổng 80 http 10/08/2010 8:52 CH PHÂN TÍCH GÓI TIN VỚI WIRESHARK 11 of 13 https://docs.google.com/View?docid=dg34rcvn_22cn7krtjs Protocol Dissection Một protocol dissector cho phép Wireshark phân chia giao thức thành số thành phần để phân tích ICMP protocol dissector cho phép Wireshark phân chia liệu bắt định dạng chúng gói tin ICMP Bạn nghĩ dissector phiên dịch dòng liệu đường truyền chương trình Wireshark Với mục đích để hỗ trợ giao thức đó, dessector cho giao thức phải tích hợp Wireshark Wireshark sử dụng đồng thời vài dissector để phiên dịch gói tin Nó định dissector sử dụng cách sử dụng phân tích lôgic cài đặt sẵn thực việc dự đoán Thật không may Wireshark lúc việc lựa chọn dissector phù hợp cho gói tin Tuy nhiên, ta thay đổi việc lựa chọn trường hợp cụ thể Following TCP Streams Một tính hữu ích Wireshark khả xem dòng TCP tầng ứng dụng Tính cho phép bạn phối hợp tất thông tin liên quan đến gói tin cho bạn liệu mà gói tin hàm chứa giống người dùng cuối nhìn thấy ứng dụng Còn việc xem liệu truyền máy trạm máy chủ mớ hỗn độn, tính xếp liệu để xem cách đơn giản Bạn sử dụng công cụ để bắt giải mã phiên instant messages gửi người làm thuê (người bị nghi ngờ phát tán thông tin tài công ty) Cửa sổ thống kê phân cấp giao thức Khi bắt file có kích thước lớn, cần biết phân bố giao thức file đó, phần trăm TCP, phần trăm IP DHCP phần trăm, Thay phải đếm gói tin để thu kết quả, sử dụng cửa sổ thống kê phân cấp giao thức Wireshark Đây cách tuyệt với để kiểm thử mạng bạn Ví dụ, bạn biết 10% lưu lượng mạng bạn sử dụng lưu lượng ARP, ngày đó, bạn thấy lưu lượng ARP lên tới 50%, bạn hoàn toàn hiểu có không ổn xảy Xem Endpoints Một Endpoint chỗ mà kết nối kết thúc giao thức cụ thể Ví dụ, có hai endpoint kết nối TCP/IP: địa IP hệ thống gửi nhận liệu, 192.168.1.5 192.168.0.8 Một ví dụ tầng kết nối hai NIC vật lý địa MAC chúng Các NIC gửi nhận liệu, MAC tạo nên endpoint kết nối 10/08/2010 8:52 CH PHÂN TÍCH GÓI TIN VỚI WIRESHARK 12 of 13 https://docs.google.com/View?docid=dg34rcvn_22cn7krtjs Khi thực phân tích gói tin, bạn nhận bạn khoanh vùng vấn đề enpoint cụ thể mạng Hộp thoại Wireshark endpoints vài thống kê hữu ích cho endpoint, bao gồm địa máy số lượng gói tin dung lượng truyền nhận máy Cửa số đồ thị IO Cách tốt để hình dung hướng giải xem chúng dạng hình ảnh Cửa sổ đồ thị IO Wireshark cho phép bạn vẽ đồ thị lưu lượng liệu mạng Bạn sử dụng tính để tìm kiếm đột biến thời điểm liệu truyền giao thức cụ thể mà bạn quan tâm Bạn vẽ đồng thời đường đồ thị cho giao thức mà bạn quan tâm màu khác Điều giúp bạn dễ dàng để thấy khác đồ thị 10/08/2010 8:52 CH PHÂN TÍCH GÓI TIN VỚI WIRESHARK 13 of 13 https://docs.google.com/View?docid=dg34rcvn_22cn7krtjs 15 10/08/2010 8:52 CH [...]...PHÂN TÍCH GÓI TIN VỚI WIRESHARK 11 of 13 https://docs.google.com/View?docid=dg34rcvn_22cn7krtjs 2 Protocol Dissection Một protocol dissector cho phép Wireshark phân chia một giao thức thành một số thành phần để phân tích ICMP protocol dissector cho phép Wireshark phân chia dữ liệu bắt được và định dạng chúng như là một gói tin ICMP Bạn có thể nghĩ rằng một dissector... 10/08/2010 8:52 CH PHÂN TÍCH GÓI TIN VỚI WIRESHARK 12 of 13 https://docs.google.com/View?docid=dg34rcvn_22cn7krtjs Khi thực hiện phân tích gói tin, bạn có thể nhận ra rằng bạn đã khoanh vùng vấn đề chỉ còn là một enpoint cụ thể trong mạng Hộp thoại Wireshark endpoints chỉ ra một vài thống kê hữu ích cho mỗi endpoint, bao gồm các địa chỉ của từng máy cũng như là số lượng các gói tin và dung lượng đã... liệu trên đường truyền và chương trình Wireshark Với mục đích để hỗ trợ một giao thức nào đó, một dessector cho giao thức đó phải được tích hợp trong Wireshark Wireshark sử dụng đồng thời vài dissector để phiên dịch mỗi gói tin Nó quyết định dissector nào được sử dụng bằng cách sử dụng phân tích lôgic đã được cài đặt sẵn và thực hiện việc dự đoán Thật không may là Wireshark không phải lúc nào cũng đúng... thông tin tài chính của công ty) 4 Cửa sổ thống kê phân cấp giao thức Khi bắt được một file có kích thước lớn, chúng ta cần biết được phân bố các giao thức trong file đó, bao nhiêu phần trăm là TCP, bao nhiêu phần trăm là IP và DHCP là bao nhiêu phần trăm, Thay vì phải đếm từng gói tin để thu được kết quả, chúng ta có thể sử dụng cửa sổ thống kê phân cấp giao thức của Wireshark Đây là cách tuyệt với. .. lựa chọn dissector phù hợp cho một gói tin Tuy nhiên, ta có thể thay đổi việc lựa chọn này trong từng trường hợp cụ thể 3 Following TCP Streams Một trong những tính năng hữu ích nhất của Wireshark là khả năng xem các dòng TCP như là ở tầng ứng dụng Tính năng này cho phép bạn phối hợp tất cả các thông tin liên quan đến các gói tin và chỉ cho bạn dữ liệu mà các gói tin này hàm chứa giống như là người... thể vẽ đồng thời 5 đường trên cùng một đồ thị cho từng giao thức mà bạn quan tâm bằng các màu khác nhau Điều này giúp bạn dễ dàng hơn để thấy sự khác nhau của các đồ thị 10/08/2010 8:52 CH PHÂN TÍCH GÓI TIN VỚI WIRESHARK 13 of 13 https://docs.google.com/View?docid=dg34rcvn_22cn7krtjs 15 10/08/2010 8:52 CH ... endpoint, bao gồm các địa chỉ của từng máy cũng như là số lượng các gói tin và dung lượng đã được truyền nhận của từng máy 6 Cửa số đồ thị IO Cách tốt nhất để hình dung hướng giải quyết là xem chúng dưới dạng hình ảnh Cửa sổ đồ thị IO của Wireshark cho phép bạn vẽ đồ thị lưu lượng dữ liệu trên mạng Bạn có thể sử dụng tính năng này để tìm kiếm các đột biến hoặc những thời điểm không có dữ liệu truyền của ... GÓI TIN VỚI WIRESHARK of 13 https://docs.google.com/View?docid=dg34rcvn_22cn7krtjs MỤC LỤC MỤC LỤC Giới thiệu 1.Thế phân tích gói tin? 2.Các bước để nghe gói tin: I Các cách thức nghe gói tin. .. viên không đáng tin cậy Không có bí mật đây, điều khiển mạng giải vấn đề Đây giới phân tích gói tin Thế phân tích gói tin? Phân tích gói tin, thông thường quy vào việc nghe gói tin phân tích giao... nghe gói tin mạng 10/08/2010 8:52 CH PHÂN TÍCH GÓI TIN VỚI WIRESHARK of 13 https://docs.google.com/View?docid=dg34rcvn_22cn7krtjs Phần II: Giới thiệu WireShark Phần III: Các tính với WireShark